GIAC GREM 認定プログラムは、新しいスキルを習得し、リバース マルウェア分析の専門知識を証明する優れた方法です。
GREM 認定試験に合格するには、計画、検出、緩和、分析、対応など、インシデント対応を完全に理解することが重要です。 GIAC GREM 認定資格は、業界で最も有名で広く受け入れられている認定資格の 1 つであり、マルウェア ソフトウェアをよりよく理解し、キャリアアップに役立てることができます。
このブログ投稿では、GIAC GREM 認定トレーニング プログラムで習得できるスキルについて説明します。
GIAC GREM 認定試験とは何ですか?
GIAC リバース エンジ ニアリング マルウェア (GREM) 認定は、リバース エンジニアリングの原則と手法に関する個人のスキルと知識を検証する、業界で認められた認定です。 GIAC GREM 認定プログラムは、組織を悪意のあるコードから保護するテクノロジスト (情報技術エンジニア) 向けに設計されています。
GIAC GREM 認定の専門家は、Microsoft Windows や Web ブラウザなどの一般的なプラットフォームを標的とする悪意のあるソフトウェアのリバース エンジニアリングに精通しています。彼らは、フォレンジック調査、インシデント対応、および Windows システム管理の専門家です。 GREM 認定を取得すると、最先端のマルウェア分析スキルを雇用主や顧客に示すことができます。
GIAC GREM 認定を取得するには、次の分野のスキルと知識をテストする 1 つの試験に合格する必要があります。
- 悪意のあるドキュメント ファイルの分析、保護された実行可能ファイルの分析、および Web ベースのマルウェアの分析。
- 悪意のあるブラウザ スクリプトの詳細な分析と、悪意のある実行可能ファイルの詳細な分析。
- メモリ フォレンジックとマルウェア コードを使用したマルウェア分析と、動作分析の基礎。
- リバース エンジニアリングのための Windows アセンブリ コードの概念と、アセンブリにおける一般的な Windows マルウェアの特性。
GIAC GREM 試験は 2 ~ 3 時間のオンライン テストで、66 ~ 75 問の多肢選択式問題が出題されます。 GREM 認定試験に合格するには、受験者は最低 73% の合格スコアを取得する必要があります。
学べること
GIAC GREM 認定は、マルウェアを裏返しにする方法に関する知識を提供します。 GIAC GREM 認定コースでは、マルウェア分析ツールと手法を詳細に調べます。 GIAC リバース エンジニアリング マルウェア (FOR610) トレーニング プログラムは、フォレンジック調査員、インシデント レスポンダー、セキュリティ エンジニア、および脅威アナリストが、悪意のあるプログラムを分析するための実践的なスキルを習得するのに役立ちました。
脅威インテリジェンスを導き出し、サイバーセキュリティ インシデントに対応し、企業の防御を強化するには、マルウェアの機能を理解する必要があります。 GREM 認定コースでは、さまざまなネットワーク監視ユーティリティ、アセンブラー、デバッガー、およびその他の無料ツールを使用して、悪意のあるソフトウェアをリバース エンジニアリングする準備ができます。
コースの一環として、マルウェア分析の要点を探究し、自動分析結果を超えることができるようにします。このコースでは、柔軟な実験室を使用して、悪意のあるソフトウェアの内部動作と実際のマルウェア サンプルを実験室で調べる方法を学びます。さらに、ラボでネットワーク トラフィックを解読および傍受して追加の洞察を得る方法を学習します。デバッガーを使用した動的コード分析手法の習得に加えて、ソース コードの分析方法も学びます。
次のタスクは、悪意のある Microsoft Office、RTF、および PDF ドキュメント ファイルを分析することです。これらは、主流の標的型攻撃で一般的に使用されます。 GIAC GREM 認定プログラムは、そのようなドキュメント内のマクロやその他の潜在的な脅威もカバーします。また、悪意のあるコードを含む JavaScript および PowerShell スクリプトの難読化を解除する方法についても学習します。
GIAC GREM (FOR610) 認定トレーニング プログラムでは、次の方法について説明します。
- 悪意のあるコードと動作を分析するために、隔離され制御されたラボ環境をセットアップします。
- ネットワークおよびシステム監視ツールを使用して、Windows 環境でマルウェアがファイル システム、レジストリ、ネットワーク、およびその他のプロセスとどのように相互作用するかを監視します。
- エクスプロイト キットがドライブバイ Web サイト攻撃を開始するためによく使用する、悪意のある JavaScript やその他の Web コンポーネントを調査および分析します。
- ネットワーク トラフィックの傍受とコードのパッチ適用を利用して、マルウェアの動作を効果的に分析します。
- 逆アセンブラとデバッガを使用して、悪意のある Windows 実行可能ファイルの内部動作を調べます。
- さまざまなパッカーや、マルウェア作成者がアナリストを混乱させたり、誤った方向に誘導したり、速度を低下させたりするために設計されたその他の防御メカニズムをバイパスします。
- コード インジェクション、API フック、分析対策など、悪意のあるコードの一般的なアセンブリ レベルのパターンを理解し、認識します。
- 悪意のある PDF および Microsoft Office ドキュメントに関連する脅威を評価します。
- 悪意のある実行可能ファイルを使用して、インシデント対応と脅威インテリジェンスの侵害の痕跡 (IOC) を導き出します。
GREM 認定試験のシラバス
FOR610.1: マルウェア分析の基礎
- 効果的なマルウ ェア分析のためのツールキットの組み立て
- 不審なプログラムの静的プロパティの調査
- 悪意のある Windows 実行可能ファイルの動作分析の実行。悪意のある Windows 実行可能ファイルの動的コード分析の実行
- ラボでマルウェアのネットワーク相互作用を調査して、追加の特性を得る
FOR610.2: 悪意のあるコードのリバース
- 悪意のあるコードを分析するためのコア x86 アセンブリの概念を理解する
- 逆アセンブラーを使用した主要なアセンブリ構造の識別
- 決定ポイントを理解するためのプログラム制御フローに従う
- Windows API レベルでの一般的なマルウェアの特徴の認識
- アセンブリの知識を拡張して x64 コード分析を含める
FOR610.3: 悪意のあるドキュメントの分析
- 疑わしい Web サイトの分析を含む、悪意のある PDF ファイルの分析。 Microsoft Office ドキュメントの VBA マクロ
- シェルコードの分析を含む、悪意のある RTF ファイルの調査
- XLM マクロの理解
FOR610.4: 詳細なマルウェア分析
- 悪意のある JavaScript の解読
- パックされた Windows マルウェアの認識
- 開梱の開始
- メモリからパックされたマルウェアをダンプするためのデバッガーの使用、マルチテクノロジーおよび「ファイルレス」マルウェアの分析
- コード インジェクションと API フック
FOR610.5: 自己防衛型マルウェアの調査
- マルウェアがデバッガーを検出して埋め込みデータを保護する方法
- プロセス ハロウイングを利用した悪意のあるソフトウェアの解凍
- マルウェアによる分析ツールの検出と回 避の試みを回避する
- SEH および TLS コールバックを含む、コードのミスディレクション手法の処理
- パッカーの行動を予測して、悪意のある実行ファイルを解凍する
FOR610.6: マルウェア解析トーナメント
- マルウェア分析の基礎
- 静的および動的手法を使用した悪意のあるコードの逆転
- 悪意のあるドキュメントの分析
- アンパックを含む詳細なマルウェア分析
- 自己防衛型マルウェアの調査
GREM 認定を受けるための前提条件は何ですか?
GIAC リバース エンジニアリング マルウェア (FOR610) 候補は、次のことを行う必要があります。
- ラップトップの仕様を満たすコンピュータ システムが必要です。学生がクラスに参加する前に、いくつかのソフトウェアをインストールする必要があります。
- Windows および Linux の動作環境を理解し、OS の接続とセットアップに関連する一般的な問題をトラブルシューティングします。
- VMware と、仮想マシンのインポートおよび構成方法を理解する。
- 変数、ループ、関数などの主要なプログラミングの概念を一般的に理解することで、関連する概念をすばやく把握できます。プログラミングの経験は必要ありません。
GREM 試験は誰が受験できますか?
GREM 認定は、セキュリティ業界で最も高く評価されている認定の 1 つです。 GREM 認定資格を取得すると、マルウェアのリバース エンジニアリングに関する知識とスキルを証明できます。その上、GREM 認定のバッジを取得することで、他のセキュリティ プロフェッショナルと差別化され、需要の高いセキュリティ プロフェッショナルになります。
GREM で実行できる役割は次のとおりです。
- システムおよびネットワーク管理者
- 監査役
- セキュリティコンサルタント
- セキュリティ管理者
- マルウェアインシデントに対処する個人
- セキュリティ担当者
- 法医学捜査官
- テクノロジーの専門知識を形式化し、拡大しようとしている人
結論
GIAC GREM 認定トレーニング プログラムは、悪意のあるソフトウェアとその処理方法について教える最も価値のある資格の 1 つです。 GREM 認定は、インシデント レスポンダーとセキュリティ プロフェッショナルが、復旧に必要な手順を計画できるように、悪意のあるソフトウェアが関与するインシデントの重大度とインシデントの影響を評価するスキルを提供することを目的としています。
また、フォレンジック調査員は、これらの特性と侵害の兆候の出現との関係、およびこれらの兆候に基づいてインシデントの範囲と封じ込めを決定する方法など、調査中にマルウェアの主要な特性をよりよく理解します。
CBT Proxy は、GIAC GREM 認定試験を受験したい場合に、最初の試行で合格するのに役立ちます。試験の準備方法と開始方法について詳しく知りたい場合は、下のチャット ボタンをクリックしてください。ガイドがお手伝いします。